Перейти к содержанию

Recommended Posts

Ingener

-

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Спасибо, взял на заметку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
"не разрешено" - ОК.

А как вернуть всё назад?

"Разрешено" будет ли достаточно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Ingener

Метод не совсем новый - он уже применился на Win 2000. Вот статья, где обсуждается:

http://www.osp.ru/win2000/2007/07/4592049/

Есть некоторые моменты, которые надо иметь в виду:

1) Есть обход когда работает RunAs. Дело в том, что эти запреты в политиках работают только на уровне пользовательской сессии и пользовательских разрешений, а вызвать запрещённые программы можно другими методами. Я детали точно не помню, но Марк Руссинович показал это убедительно несколько лет назад когда он ещё не работал у Майкрософта. По-моему он это сделал не через атаку на испольнительный файл iexplore.exe, а на одну из его библиотек (dll). К сожалению многие из его экспериментов сейчас уже недоступны. Найду, обещаю. Эта политика имеет только смысл если вы работаете в учётке с ограниченными правами и с отключённым RunAs.

2) на XP Home нельзя такое делать (там нет редактора политик). Для владельцев такой системы всё равно не всё потеряно: Как обезвредить Internet Explorer? Применить надо желательно все 3 метода, потому что против каждого отдельно есть возражения. Кроме того, вариант №3 работает только когда у вас в системе IE6.

3) Откройте 'Мой Компьютер' (то есть Ваш ;)). Там, я так думаю, в одной из вкладок можно найти 'Избранные' или 'Ссылки', или просто google.com ввести если задан панель адреса в параметрах проводника. Меня интересует: что у вас происходит, когда вы нажимаете на такие ссылки? (То есть: косвенно вызываете IE). Ликтест WallBreaker, например, запускает IE через cmd -> explorer -> IE. Там 4 теста в одном. Запустите первый.

P.S.1: Насколько я знаю, нет надёжных способов избавиться от IE если не серьёзно модифицировать проводник (explorer.exe), и это тоже не рекомендуется, так как вы остаётесь с очень нестабильной системой.

P.S.2: политики ограниченного использования программ точно НЕ применяются в отношении:

* драйверов и других видов софта на уровне ядра

* учётной записи SYSTEM

* Макросов в Microsoft Office 2000 и новее.

* Программ на runtime.

Поэтому не совсем оправдано считать, что ваш метод будет защищать вас от спамботов, и пр.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ничего особеного при этом не происходит - запускается браузер Opera.

P.S.2 из сообщения 5 всё равно имейте в виду. Захватим, например, Winlogon, и задаём ему запускать IE - ещё как запустится если он на месте!

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Протестировать самому не хочется - тогда мне надо всю конфигурацию своей системы переделать. У меня, например, почти все расширения зарегистрированных файлов удалены (тоже неплохой способ против эксплойтов, кстати, когда сама система не знает, как тот или иной файл запускать), но методы обхода вашего метода найду вам. Тем более, что Майкрософт сама комментирует политики ограниченного использования программ предупреждениями где-то на сайте technet...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Потестируйте это пожалуйста. Мне очень интересно возможен ли такой обход моих ограничений для IE - для этого зловредописателям нужно будет попотеть - а зачем им это когда почти у всех пользователей IE не блокирован? Буду очень благодарен за конкретные факты и методы обхода моих ограничений, которыми может воспользоваться зловред.

Вирусописатели не будут расчитывать свои деяния на тех, кто подобным образом блокирует IE.

А вот то что они переориентировались на лису - это факт. Вас это более должно сейчас беспокоить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Вирусописатели не будут расчитывать свои деяния на тех, кто подобным образом блокирует IE.

А вот то что они переориентировались на лису - это факт. Вас это более должно сейчас беспокоить :)

Да, вдря ли. У него же Опера? Или вы это говорите мне? ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Да, вдря ли. У него же Опера?

Ну тогда все пучком. Доля броузера и осторожность программистов сохранит его :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antal

Если вы не описываете блокировку IE средствами сетевого экрана в параметрах приложений, значит это не даёт требуемого эффекта ? Я средствами Symantec Endpoint Protection заблокировал сетевую активность IE 7полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Если вы не описываете блокировку IE средствами сетевого экрана в параметрах приложений, значит это не даёт требуемого эффекта ?

Нет. Когда серьёзный зловред завладел компьютером, то тогда он может (если он не решится убить программу защиты) полностью отфильтровать то, что программы защиты получают от системы. Кроме того, он может даже начинать тип трафика, который не входит в стандартные протоколы. Но когда IE действительно недоступен, а он ему нужен (у спамботов часто бывает), то тогда у этого зловреда будут серьёзные проблемы всё-таки...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antal
Нет. Когда серьёзный зловред завладел компьютером, то тогда он может (если он не решится убить программу защиты) полностью отфильтровать то, что программы защиты получают от системы. Кроме того, он может даже начинать тип трафика, который не входит в стандартные протоколы. Но когда IE действительно недоступен, но он ему нужен, то тогда у этого зловреда будут серьёзные проблемы всё-таки...

Paul

Понятно, но есть один нюанс IE довольно сильно связан с ОС, не будут ли возникать различные глюки в системе при полном отключении IE ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Понятно, но есть один нюанс IE довольно сильно связан с ОС, не будут ли возникать различные глюки в системе при полном отключении IE ?

Его полностью отключать нельзя. Делать его недоступным для среднего типа зловреда, однако, можно на уровне системы. Я сказал бы, что метод, который предлагает Ingener + ссылка, которую я дал в сообщении №5 - неплохие варианты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Нашёл в своих архивах красавец-способ:

Именно в данной последовательности: переименовать mshtml.dll в mshtml.dll.old

1. C:\Windows\ServicePackFiles\i386 - (эта папка i386 может в некоторых системах находиться по другому адресу)

2. C:\Windows\System32\dllcache

3. C:\Windows\System32

У меня точно уже не запускается никак. Скорее запускается его интерфейс ещё (только что попробовал через WallBreaker), но уже ничего читать/отправлять не может. :)

P.S.: Содержимое первых двух папок у меня отсутствует (удалил). Если у вас в процессе появится сообщение Защиты Файлов Windows с просьбой поставить установочный диск, то тогда нажать Отменить + ОК. Как только IE нужен, переименуем обратно (убираем 'old'). До того, как экспериментировать создаём, естественно, точку восстановления.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Этот способ для какой версии IE? На IE7 борода - данный способ не работает!

Это для стандартной установки XP (то есть - IE6). Обсудили на sysinternals в 2004 г.

mshtml.dll = Microsoft ® HTML Viewer

P.S.: Вы хотите сказать, что вы всё ещё страницы html можете смотреть с помощью IE?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener
Это для стандартной установки XP (то есть - IE6). Обсудили на sysinternals в 2004 г.

mshtml.dll = Microsoft ® HTML Viewer

P.S.: Вы хотите сказать, что вы всё ещё страницы html можете смотреть с помощью IE?

Paul

Да могу. Всё работает как раньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Да могу. Всё работает как раньше.

Я подозреваю, что вы не до конца обезвредили этот dll (то есть - Windows создала у вас новый).

Есть, конечно, другой способ, но он более рискованный: Regsvr32 /u mshtml.dll и потом уже переименовать.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Я только отвечаю по тематике в вашем топике. Я никому (особенно простым пользователям) в жизни ещё не рекомендовал обезвредить IE. Отключить службы - другое дело; это действительно необходимо. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Извиняюсь - если оскорбил вас своими комментариями. Просто я хотел предупредить пользователей, что данный метод может не сработать.

Я не обиделся. Всё верно. У меня сработало (скорее всего это комбинация моих других способов и тот факт, что у меня IE6). Буду и применять ваш метод. ;)

Update: Это невозможно - испольнительного файла IE нет у меня (запустил свой батник и он исчез). Проблему с explorer.exe (проводником) мы всё равно не решим... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×